Replicar máquinas com discos habilitados para Chaves Gerenciadas pelo Cliente (CMK)
Este artigo descreve como replicar as VMs do Azure com discos habilitados para chaves gerenciadas pelo cliente (CMK), de uma região do Azure para outra.
Pré-requisito
Você precisa criar os conjuntos de Criptografia de Disco na região de destino da assinatura de destino antes de habilitar a replicação das máquinas virtuais que têm os discos gerenciados habilitados para CMK.
Observação
O Azure Site Recovery não dá suporte à rotação da chave para uma máquina virtual criptografada enquanto ela está protegida. Se você girar as chaves, precisará desabilitar e reabilitar a replicação.
Habilitar a replicação
Use o procedimento a seguir para replicar computadores com discos habilitados para CMK (chaves gerenciadas pelo cliente). Como exemplo, a região do Azure primária é Leste da Ásia e a região secundária é Sudeste da Ásia.
No cofre na página do >Site Recovery, em Máquinas virtuais do Azure, selecione Habilitar a replicação.
Na página Habilitar replicação, em Origem, faça o seguinte:
Região: selecione a região do Azure em que você pretende proteger as VMs. Para este exemplo, o local de origem é Leste da Ásia.
Assinatura: selecione a assinatura à qual pertencem suas VMs de origem. Pode ser qualquer assinatura dentro do mesmo locatário do Microsoft Entra na qual existe o cofre dos serviços de recuperação.
Grupo de recursos: selecione o grupo de recursos ao qual pertencem as máquinas virtuais de origem. Todas as máquinas virtuais no grupo de recursos selecionado são listadas para a proteção na próxima etapa.
Modelo de implantação de máquina virtual: selecione o modelo de implantação do Azure das máquinas de origem.
Recuperação de desastre entre zonas de disponibilidade: selecione Sim se desejar executar a recuperação de desastre zonal em máquinas virtuais.
Selecione Avançar.
Em Máquinas virtuais, selecione cada VM que você quer replicar. Você só pode selecionar computadores para os quais a replicação pode ser habilitada. Você pode selecionar até dez VMs. Em seguida, selecione Avançar.
Em Configurações de replicação, é possível definir as seguintes configurações:
Em Local e Grupo de recursos,
Local de destino: selecione o local onde os dados da máquina virtual de origem devem ser replicados. Dependendo do local das máquinas selecionadas, a recuperação de Site fornecerá a lista de regiões de destino adequadas. É recomendável que você mantenha o local de destino o mesmo do local do cofre dos Serviços de Recuperação.
Assinatura de destino: selecione a assinatura de destino usada para a recuperação de desastre. Por padrão, a assinatura de destino será o mesma que a assinatura de origem.
Grupo de recursos de destino: selecione o grupo de recursos ao qual pertencem todas as máquinas virtuais replicadas.
- Por padrão, o Site Recovery cria um novo grupo de recursos na região de destino com um sufixo asr no nome.
- Se o grupo de recursos criado pelo Site Recovery já existir, ele será reutilizado.
- É possível personalizar as configurações do grupo de recursos.
- O local do grupo de recursos de destino pode ser qualquer região do Azure exceto a região em que as VMs de origem estão hospedadas.
Observação
Você também pode criar um novo grupo de recursos de destino selecionando Criar novo.
Em Rede,
Rede virtual de failover: selecione a rede virtual de failover.
Observação
Você também pode criar uma nova rede virtual de failover selecionando Criar nova.
Sub-rede de failover: selecione a sub-rede de failover.
Armazenamento: selecione Exibir/editar configuração de armazenamento. A página Personalizar as configurações de destino será aberta.
- Disco gerenciado de réplica: o Site Recovery cria novos discos gerenciados de réplica na região de destino para espelhar os discos gerenciados da VM de origem com o mesmo tipo de armazenamento (Standard ou Premium) do disco gerenciado da VM de origem.
- Armazenamento em cache: o Site Recovery precisa de uma conta de armazenamento extra, chamada armazenamento em cache, na região de origem. Todas as alterações ocorrendo nas VMs de origem são controladas e enviadas para a conta de armazenamento do cache antes de replicar para o local de destino.
Opções de disponibilidade: selecione a opção de disponibilidade apropriada para a VM na região de destino. Caso um conjunto de disponibilidade, que tenha sido criado pelo Site Recovery já exista, ele será reutilizado. Selecione Exibir/editar opções de disponibilidade para exibir ou editar as opções de disponibilidade.
Observação
- Ao configurar os conjuntos de disponibilidade de destino, configure diferentes conjuntos de disponibilidade diferentes tamanhos de VMs.
- Depois de habilitar a replicação, não é possível alterar o tipo de disponibilidade — única instância, zona de disponibilidade ou conjunto de disponibilidade. É necessário desabilitar e habilitar a replicação para alterar o tipo de disponibilidade.
Reserva de capacidade: a reserva de capacidade permite que você adquira capacidade na região de recuperação e, em seguida, execute o failover para essa capacidade. Você pode criar um novo grupo de reserva de capacidade ou usar um existente. Para saber mais, confira como funciona a reserva de capacidade. Selecione Exibir ou Editar atribuição de grupo de Reserva de Capacidade para modificar as configurações de reserva de capacidade. Ao disparar o failover, a nova VM será criada no grupo de reserva de capacidade atribuído.
Configurações de criptografia de armazenamento: o Site Recovery requer que os DES (conjuntos de criptografia de disco) sejam usados para réplica e discos gerenciados de destino. Você deve criar previamente os conjuntos de criptografia de disco na assinatura de destino e na região de destino antes de habilitar a replicação. Por padrão, um conjunto de criptografia de disco não é selecionado. Você deve selecionar Exibir/editar configuração para escolher um conjunto de criptografia de disco por disco de origem.
Observação
Verifique se o DES de destino está presente no grupo de recursos de destino e se o DES de destino tem acesso Get, Codificar chave, Decodificar chave em um Key Vault na mesma região.
Selecione Avançar.
Em Gerenciar, faça o seguinte:
- Em Política de replicação,
- Política de replicação: selecione a política de replicação. Define as configurações para o histórico de retenção de pontos de recuperação e a frequência de instantâneos consistente com aplicativos. Por padrão, o Site Recovery cria uma nova política de replicação com configurações padrão de 24 horas para retenção de pontos de recuperação.
- Grupo de replicação: crie um grupo de replicação para replicar VMs em conjunto para gerar pontos de recuperação consistentes com várias VMs. Observe que habilitar a consistência de várias VMs pode afetar o desempenho da carga de trabalho e só deve usada se os computadores estiverem executando a mesma carga de trabalho e você precisar de consistência entre vários computadores.
- Em Configurações de extensão,
- Selecione configurações de atualização e Conta de automação.
- Em Política de replicação,
Selecione Avançar
Em Revisão, examine as configurações da VM e selecione Habilitar replicação.
Observação
Durante a replicação inicial, o status pode levar algum tempo para atualizar, sem progresso aparente. Clique em Atualizar para obter o status mais recente.
Perguntas frequentes
Habilitei o CMK em um item replicado existente, como posso garantir que o CMK também seja aplicado na região de destino?
Descubra o nome do disco gerenciado de réplica (criado por Azure Site Recovery na região de destino) e anexe o DES a esse disco de réplica. No entanto, você não poderá ver os detalhes do DES na lâmina de discos depois de anexá-lo. Como alternativa, você poderá optar por desabilitar a replicação da VM e habilitá-la novamente. Isso garantirá que você poderá ver os detalhes de DES e do cofre de chaves na lâmina dos discos do item replicado.
Adicionei um novo disco habilitado para CMK ao item replicado. Como replicar este disco com o Azure Site Recovery?
É possível adicionar um novo disco habilitado para CMK a um item replicado existente usando o PowerShell. Localize o snippet de código para obter diretrizes:
#set vaultname and resource group name for the vault. $vaultname="RSVNAME" $vaultrgname="RSVRGNAME" #set VMName $VMName = "VMNAME" #get the vault object $vault = Get-AzRecoveryServicesVault -Name $vaultname -ResourceGroupName $vaultrgname #set job context to this vault $vault | Set-AzRecoveryServicesAsrVaultContext ============= #set resource id of disk encryption set $diskencryptionset = "RESOURCEIDOFTHEDISKENCRYPTIONSET" #set resource id of cache storage account $primaryStorageAccount = "RESOURCEIDOFCACHESTORAGEACCOUNT" #set resource id of recovery resource group $RecoveryResourceGroup = "RESOURCEIDOFRG" #set resource id of disk to be replicated $dataDisk = "RESOURCEIDOFTHEDISKTOBEREPLICATED" #setdiskconfig $diskconfig = New-AzRecoveryServicesAsrAzureToAzureDiskReplicationConfig ` -ManagedDisk ` -DiskId $dataDisk ` -LogStorageAccountId $primaryStorageAccount ` -RecoveryResourceGroupId $RecoveryResourceGroup ` -RecoveryReplicaDiskAccountType Standard_LRS ` -RecoveryTargetDiskAccountType Standard_LRS ` -RecoveryDiskEncryptionSetId $diskencryptionset #get fabric object from the source region. $fabric = Get-AzRecoveryServicesAsrFabric #use to fabric name to get the container. $primaryContainerName =Get-AzRecoveryServicesAsrProtectionContainer -Fabric $fabric[1] #get the context of the protected item $protectedItemObject = Get-AsrReplicationProtectedItem -ProtectionContainer $primaryContainerName | where { $_.FriendlyName -eq $VMName };$protectedItemObject #initiate enable replication using below command $protectedItemObject |Add-AzRecoveryServicesAsrReplicationProtectedItemDisk -AzureToAzureDiskReplicationConfiguration $diskconfig
Habilitei a plataforma e as chaves gerenciadas pelo cliente, como posso proteger meus discos?
O Site Recovery permite habilitar a criptografia dupla com a plataforma e as chaves gerenciadas pelo cliente. Siga as instruções neste artigo para proteger seu computador. Você precisa criar um DES com criptografia dupla habilitada na região de destino com antecedência. No momento da habilitação da replicação para essa VM, você poderá fornecer esse DES para o Site Recovery.
Próximas etapas
- Saiba mais sobre a execução de failovers de teste.